Cisco Cisco Firepower Management Center 2000 User Guide
22-22
FireSIGHT 系统用户指南
第 22 章 使用 SSL 规则调整流量解密
根据加密属性控制流量
下表介绍系统如何根据加密服务器证书的状态评估加密流量。
请考虑以下示例。组织信任 Verified Authority 证书颁发机构。组织不信任 Spammer Authority 证
书颁发机构。系统管理员将 Verified Authority 证书和由 Verified Authority 颁发的中间 CA 证书上
传到系统。由于 Verified Authority 已撤销其以前颁发的证书,因此系统管理员上传该 Verified
Authority 分发的 CRL。
书颁发机构。系统管理员将 Verified Authority 证书和由 Verified Authority 颁发的中间 CA 证书上
传到系统。由于 Verified Authority 已撤销其以前颁发的证书,因此系统管理员上传该 Verified
Authority 分发的 CRL。
下图说明用于检查有效证书、由 Verified Authority 颁发的证书、不在 CRL 上的证书以及仍在
Valid From 和 Valid To 日期内的证书的证书状态规则条件。受配置原因的影响,未通过访问控制
来解密和检查使用这些证书加密的流量。
Valid From 和 Valid To 日期内的证书的证书状态规则条件。受配置原因的影响,未通过访问控制
来解密和检查使用这些证书加密的流量。
下图说明用于检查状态是否缺失的证书状态规则条件。在此情况下,由于配置原因,它与使用尚
未到期的证书加密的流量相匹配并监控该流量。
未到期的证书加密的流量相匹配并监控该流量。
表
22-4
证书状态规则条件标准
状态检查
状态设置为 Yes
状态设置为 No
已撤销
策略信任颁发服务器证书的 CA,并且上传
到策略的 CA 证书包含用于撤销服务器证书
的 CRL。
到策略的 CA 证书包含用于撤销服务器证书
的 CRL。
策略信任颁发服务器证书的 CA,并且上传到策
略的 CA 证书不包含用于撤销证书的 CRL。
略的 CA 证书不包含用于撤销证书的 CRL。
自签名
检测到的服务器证书包含相同的主题和颁发
者可分辨名称。
者可分辨名称。
检测到的服务器证书包含不同的主题和颁发者可
分辨名称。
分辨名称。
有效
以下所有情况都成立:
•
策略信任颁发证书的 CA
•
签名有效
•
颁发者有效
•
策略的受信任 CA 未撤销证书
•
当前日期介于证书的 Valid From 和 Valid
To 日期之间
To 日期之间
至少以下情况之一成立:
•
策略不信任颁发证书的 CA
•
签名无效
•
颁发者无效
•
策略中的受信任 CA 已撤销证书
•
当前日期在证书的 Valid From 日期之前
•
当前日期在证书的 Valid To 日期之后
签名无效
无法根据证书的内容正确验证证书的签名。
根据证书的内容正确验证证书的签名。
颁发者无效
颁发者 CA 证书未存储在策略的受信任 CA
证书列表中。
证书列表中。
颁发者 CA 证书存储在策略的受信任 CA 证书列
表中。
表中。
已到期
当前日期在证书的 Valid To 日期之后。
当前日期在证书的 Valid To 日期之前或当日。
尚未生效
当前日期在证书的 Valid From 日期之前。
当前日期在证书的 Valid From 日期之后或当日。